Sędzina Rebecca Pallmeyer oddaliła wniosek złożony przez bank Citizens Financial Bank - jego prawnicy domagali się w nim, by sąd orzekł, iż brak najnowszych zabezpieczeń nie może być traktowany jako zaniedbanie obowiązku ochrony konta klienta. CFB próbował w ten sposób zabezpieczyć się przed pozwaniem przez Marshę i Michaela Shames-Yeakel - pary klientów, którzy padli ofiarą złodziei (ktoś przejął dane ich konta i ukradł z niego 26 tys. USD).

Państwo Shames-Yeakel przedstawili w sumie siedem zarzutów przeciwko CFB - sześć z nich oddalono, ale zarzut o zaniedbanie został uznany za zasadny. "Należy uznać, że bank powinien zrobić wszystko, co w jego mocy, by zabezpieczyć konto swoich klientów przed nieautoryzowanym dostępem" - napisano w uzasadnieniu decyzji.

Zdaniem specjalistów, to niezwykle ważna decyzja - sąd stanął po stronie klientów w toczącej się od miesięcy dyspucie o tym, jak banki (i szerzej: instytucje finansowe) powinny wdrażać najnowsze rozwiązania z zakresu bezpieczeństwa informatycznego. Analitycy ostrzegali takie firmy od dawna - zapowiadali, że jeśli nie będą na czas wprowadzały odpowiednich zabezpieczeń, to klienci zaczną je pozywać.

Takie pozwy już zresztą trafiały do amerykańskich sądów - zaniedbanie zwykle zarzucano w nich firmom, z których przestępcy zdołali w jakiś sposób wykraść dane kart płatniczych klientów (autorzy pozwów domagali się w nich zwykle odszkodowania finansowego). Do tej pory sądy raczej oddalały takie pozwy (tłumacząc, że firmy padły ofiarą przestępców i że amerykańskie prawo i tak zobowiązuje je do pokrycia wszelkich strat poniesionych przez klientów). Ale sprawa Citizens Financial Bank jest wyjątowa - powodom udało się przekonać sąd, że gdyby bank nie ociągał się z wdrożeniem nowoczesnych zabezpieczeń informatycznych, to do kradzieży w ogóle by nie doszło.

Całą sprawa dotyczy incydentu z lutego 2007 r. - wtedy ktoś zdobył hasło i login do e-konta państwa Shames-Yeakel i przelał z niego na konto w Austrii ok. 26 tys. USD (właściwie, to nie były to pieniądze Amerykanów - złodziej wykorzystał środki dostępne w ramach linii kredytowej). Małżeństwo dowiedziało się o kradzieży dopiero 10 dni później. Bank wkrótce zażądał zwrotu całej sumy - jego pracownicy tłumaczyli, że CFB nie jest w żaden sposób odpowiedzialny za nieautoryzowane transakcje, jeśli złodziej korzystał z należącego do klientów hasła i loginu (inaczej byłoby, gdyby klienci przed transakcją powiadomili bank, że ktoś przejął te dane). Bankowcy tłumaczyli też, że w ich firmie zastosowano wszelkie niezbędne zabezpieczenia.

Ale państwo Shames-Yeakels stwierdzili, że część winy leży po stronie banku - choćby dlatego, że w czasie gdy doszło do incydentu CFB wciąż korzystał z najprostszej z możliwych metody autoryzacji - loginu i stałego hasła. Inne banki w tym samym okresie standardowo używały dwustopniowej autoryzacji (z hasłami jednorazowymi) lub tokenów, za każdym razem generujących nowe hasło. Ich prawnicy zwrócili też uwagę, że stosowanie jednostopniowej autoryzacji już dwa lata przez kradzieżą zdecydowania odradzała bankom organizacja Federal Financial Institutions Examination Council (FFIEC). Jak widać, sąd zgodził się z tymi argumentami.